Annonces de l'ICANN

Lisez les annonces de l'ICANN pour vous tenir au courant des dernières activités d’élaboration de politiques, des événements régionaux et bien plus encore.

Report du roulement de la clé de signature de clé (KSK)

27 septembre 2017

En plus des six langues des Nations Unies, ce contenu est aussi disponible en

La Société pour l'attribution des noms de domaines et des numéros sur Internet (ICANN) a annoncé aujourd'hui que le plan pour changer la clé cryptographique utilisée pour protéger le système des noms de domaine (DNS) a été reporté.

Le changement de clé consiste à générer une nouvelle paire de clés cryptographiques et à distribuer la nouvelle composante publique aux résolveurs qui valident les extensions de sécurité du système des noms de domaine (DNSSEC). Compte tenu du nombre estimé d'utilisateurs Internet qui ont recours à des résolveurs validant les signatures DNSSEC, on estime qu'un internaute sur quatre, soit 750 millions de personnes à travers le monde, pourraient être affectées par le roulement de la clé de signature de clé.

Le changement ou « roulement » de la clé de signature de clé (KSK), prévu initialement pour le 11 octobre, a été reporté en raison des dernières données obtenues, qui montrent qu'un nombre significatif de résolveurs utilisés par les fournisseurs de services Internet (FSI) et les opérateurs de réseau ne sont pas encore prêts pour cette mise en œuvre. Ces nouvelles données sont disponibles grâce à une très récente fonctionnalité du protocole DNS qui permet aux résolveurs de communiquer aux serveurs racine quels sont les clés qui ont été configurées.

Il peut y avoir plusieurs raisons pour lesquelles les opérateurs n'ont pas installé la nouvelle clé dans leurs systèmes : certains d'entre eux n'ont peut-être pas configuré correctement leurs logiciels, et un problème récemment découvert dans le logiciel d'un résolveur largement utilisé semble ne pas permettre les mises à jour automatiques, pour des raisons qui sont en cours d'étude.

L'ICANN lance un appel à sa communauté, y compris au Comité consultatif sur la sécurité et la stabilité, aux Registres Internet régionaux, aux groupes d'opérateurs de registre et aux autres groupes afin d'explorer et résoudre ces problèmes.

En attendant, l'ICANN considère qu'il est prudent de suivre son processus et de reporter le changement de la clé plutôt que de risquer qu'un grand nombre d'internautes en soient affectés de manière négative. L'ICANN s'engage à poursuivre ses efforts de formation, de communication et de discussion avec les organisations techniques concernées afin que tout soit prêt pour le changement.

« La sécurité, la stabilité et la résilience du système des noms de domaine est notre mission fondamentale. Nous préférons procéder de manière prudente et raisonnable plutôt que de mettre en œuvre le roulement à la date annoncée du 11 octobre », a indiqué Göran Marby. « Il serait irresponsable de procéder au roulement de la clé après avoir identifié ces nouveaux problèmes qui pourraient avoir une incidence négative sur sa mise en œuvre et, par conséquent, sur les utilisateurs finaux. »

La nouvelle date du roulement de la clé n'a pas été déterminée. Le bureau du directeur de la technologie a indiqué envisager de reporter le roulement au premier trimestre 2018, mais cette date est tentative car elle dépend des résultats des recherches entamées pour mieux comprendre les problèmes identifiés et des actions à mettre en place pour atténuer tout risque de défaillance.

L'ICANN communiquera toute nouvelle information disponible à ce sujet et annoncera la nouvelle date du roulement le moment venu.

« Nous espérons que les opérateurs de réseau utiliseront ce délai supplémentaire pour s'assurer que leurs systèmes sont prêts pour le changement de clé », a ajouté Marby. « Notre plateforme d'essai (http://go.icann.org/KSKtest) aidera les opérateurs à vérifier que leurs résolveurs sont correctement configurés avec la nouvelle clé. Nous poursuivrons le dialogue et la communication avec ces opérateurs. »

À propos du DNSSEC

Pour identifier plus facilement les ressources de l'Internet, les adresses numériques qui en sont à la base sont représentées au moyen de chaînes de caractères lisibles par l'homme. La conversion de ces chaînes en numéros est assurée par le système de noms de domaine (DNS), un système distribué et hiérarchique. La complexité croissante de l'informatique et de la réseautique depuis leur conception en 1983 a rendu cet « annuaire téléphonique » plus vulnérable aux attaques. En réponse à ces menaces, l'organisation internationale de normalisation, l'IETF, a développé les extensions de sécurité du système des noms de domaine (DNSSEC), destinées à garantir par des moyens cryptographiques que les contenus du DNS ne puissent pas être modifiés par rapport à leur source sans que ce changement soit détecté. Le déploiement des DNSSEC empêche l'attaquant de rediriger les utilisateurs en se servant du DNS.

##

Pour être au courant des dernières informations sur le roulement de la KSK, rendez‑vous sur https://www.icann.org/resources/pages/ksk-rollover

Sur les médias sociaux, utilisez : #Keyroll